Ο πάροχος κινητής τηλεφωνίας των ΗΠΑ T-Mobile μόλις παραδέχτηκε ότι δέχτηκε χακάρισμα, σε μια κατάθεση γνωστή ως 8-K που υποβλήθηκε στην Επιτροπή Κεφαλαιαγοράς (SEC) χθες, 2023-01-19.
Η Φόρμα 8-Κ περιγράφεται από την ίδια την SEC ως «Οι εταιρείες «τρέχουσας έκθεσης» πρέπει να υποβάλουν […] για να ανακοινώσουν σημαντικά γεγονότα για τα οποία πρέπει να γνωρίζουν οι μέτοχοι».
Αυτά τα σημαντικά γεγονότα περιλαμβάνουν ζητήματα όπως η χρεοκοπία ή η παραλαβή (αντικείμενο 1.03), οι παραβιάσεις της ασφάλειας ορυχείων (αντικείμενο 1.04), οι αλλαγές στον κώδικα δεοντολογίας ενός οργανισμού (αντικείμενο 5.05) και μια κατηγορία «catch all», που χρησιμοποιείται συνήθως για την αναφορά προβλημάτων που σχετίζονται με την πληροφορική , μεταγλωττισμένη απλά Άλλα γεγονότα (στοιχείο 8.01).
Το άλλο συμβάν της T-Mobile περιγράφεται ως εξής:
Στις 5 Ιανουαρίου 2023, η T-Mobile US […] εντόπισε ότι ένας κακός παράγοντας λάμβανε δεδομένα μέσω μιας ενιαίας διεπαφής προγραμματισμού εφαρμογών («API») χωρίς εξουσιοδότηση. Ξεκινήσαμε αμέσως μια έρευνα με εξωτερικούς εμπειρογνώμονες στον κυβερνοχώρο και μέσα σε μια μέρα μάθαμε για την κακόβουλη δραστηριότητα, μπορέσαμε να εντοπίσουμε την πηγή της κακόβουλης δραστηριότητας και να τη σταματήσουμε. Η έρευνά μας είναι ακόμη σε εξέλιξη, αλλά η κακόβουλη δραστηριότητα φαίνεται να έχει περιοριστεί πλήρως αυτή τη στιγμή.
Σε απλά αγγλικά: οι απατεώνες βρήκαν έναν τρόπο να εισέλθουν από έξω, χρησιμοποιώντας απλές συνδέσεις βασισμένες στον ιστό, που τους επέτρεπε να ανακτούν ιδιωτικές πληροφορίες πελατών χωρίς να χρειάζονται όνομα χρήστη ή κωδικό πρόσβασης.
Η T-Mobile δηλώνει πρώτα το είδος των δεδομένων που πιστεύει ότι είναι επιτιθέμενοι δεν get, το οποίο περιλαμβάνει στοιχεία κάρτας πληρωμής, αριθμούς κοινωνικής ασφάλισης (SSN), φορολογικούς αριθμούς, άλλα προσωπικά αναγνωριστικά, όπως άδειες οδήγησης ή ταυτότητες που έχουν εκδοθεί από την κυβέρνηση, κωδικούς πρόσβασης και PIN και οικονομικές πληροφορίες, όπως στοιχεία τραπεζικού λογαριασμού.
Αυτά είναι τα καλά νέα.
Τα κακά νέα είναι ότι οι απατεώνες προφανώς μπήκαν πίσω στις 2022-11-25 (ειρωνικά, όπως συμβαίνει, μαύρη Παρασκευή, την επόμενη ημέρα των Ευχαριστιών των ΗΠΑ) και δεν έφυγε με άδεια χέρια.
Άφθονος χρόνος για λεηλασία
Οι επιτιθέμενοι, φαίνεται, είχαν αρκετό χρόνο για να εξαγάγουν και να διασκεδάσουν με τουλάχιστον ορισμένα προσωπικά δεδομένα για περίπου 37 εκατομμύρια χρήστες, συμπεριλαμβανομένων τόσο των προπληρωμένων (pay-as-you-go) όσο και των προπληρωμένων (με χρέωση) πελατών, συμπεριλαμβανομένων όνομα, διεύθυνση χρέωσης, email, αριθμός τηλεφώνου, ημερομηνία γέννησης, αριθμός λογαριασμού T-Mobile και πληροφορίες όπως ο αριθμός των γραμμών στον λογαριασμό και οι λειτουργίες του προγράμματος.
Περιέργως, η T-Mobile περιγράφει επίσημα αυτή την κατάσταση με τις λέξεις:
[T]δεν υπάρχουν προς το παρόν στοιχεία ότι ο κακός ηθοποιός μπόρεσε να παραβιάσει ή να υπονομεύσει τα συστήματά μας ή το δίκτυό μας.
Οι επηρεαζόμενοι πελάτες (και ίσως οι αρμόδιες ρυθμιστικές αρχές) ενδέχεται να μην συμφωνούν ότι 37 εκατομμύρια κλεμμένα αρχεία πελατών, κυρίως συμπεριλαμβανομένου του τόπου διαμονής σας και των δεδομένων γέννησής σας…
…μπορεί να παραμεριστεί ούτε ως παραβίαση ούτε ως συμβιβασμός.
Η T-Mobile, όπως ίσως θυμάστε, πλήρωσε πάρα πολύ $ 500 εκατομμύρια το 2022 για να διευθετήσει μια παραβίαση που υπέστη το 2021, αν και τα δεδομένα που κλάπηκαν σε αυτό το περιστατικό περιλάμβαναν πληροφορίες όπως SSN και στοιχεία άδειας οδήγησης.
Αυτού του είδους τα προσωπικά δεδομένα δίνουν γενικά στους εγκληματίες του κυβερνοχώρου περισσότερες πιθανότητες να κάνουν σοβαρές κλοπές ταυτότητας, όπως να λάβουν δάνεια στο όνομά σας ή να μεταμφιεστούν σε εσάς για να υπογράψετε κάποιο άλλο είδος σύμβασης, παρά αν έχουν «μόνο» τα στοιχεία επικοινωνίας σας και Ημερομηνια γεννησης.
Τι να κάνω;
Δεν έχει νόημα να προτείνουμε ότι οι πελάτες της T-Mobile προσέχουν περισσότερο από το συνηθισμένο όταν προσπαθούν να εντοπίσουν αναξιόπιστα μηνύματα ηλεκτρονικού ταχυδρομείου, όπως απάτες ηλεκτρονικού "ψαρέματος" που φαίνεται να "γνωρίζουν" ότι είναι χρήστες της T-Mobile.
Εξάλλου, οι απατεώνες δεν χρειάζεται να γνωρίζουν με ποια εταιρεία κινητής τηλεφωνίας είστε για να μαντέψουν ότι πιθανότατα χρησιμοποιείτε έναν από τους μεγαλύτερους παρόχους και να σας ψαρέψουν ούτως ή άλλως.
Με απλά λόγια, εάν υπάρχουν νέες προφυλάξεις κατά του phishing που αποφασίσετε να λάβετε ειδικά λόγω αυτής της παραβίασης, θα χαρούμε να το ακούσουμε…
…αλλά αυτές οι προφυλάξεις είναι συμπεριφορές που θα μπορούσατε να υιοθετήσετε ούτως ή άλλως.
Έτσι, θα επαναλάβουμε τις συνήθεις συμβουλές μας, τις οποίες αξίζει να ακολουθήσετε είτε είστε πελάτης της T-Mobile είτε όχι:
- Μην κάνετε κλικ σε "χρήσιμους" συνδέσμους σε email ή άλλα μηνύματα. Μάθετε εκ των προτέρων πώς να πλοηγείστε στις επίσημες σελίδες σύνδεσης όλων των διαδικτυακών υπηρεσιών που χρησιμοποιείτε. (Ναι, αυτό περιλαμβάνει τα κοινωνικά δίκτυα!) Εάν γνωρίζετε ήδη τη σωστή διεύθυνση URL για χρήση, δεν χρειάζεται ποτέ να βασίζεστε σε συνδέσμους που μπορεί να έχουν παρασχεθεί από απατεώνες, είτε σε email, μηνύματα κειμένου ή φωνητικές κλήσεις.
- Σκεφτείτε πριν κάνετε κλικ. Δεν είναι πάντα εύκολο να εντοπίσετε συνδέσμους απάτης, κυρίως επειδή ακόμη και οι νόμιμες υπηρεσίες χρησιμοποιούν συχνά δεκάδες διαφορετικά ονόματα ιστότοπων. Αλλά τουλάχιστον μερικές, αν όχι πολλές, απάτες περιλαμβάνουν το είδος των λαθών που συνήθως δεν θα έκανε μια γνήσια εταιρεία. Όπως προτείνουμε στο Σημείο 1 παραπάνω, προσπαθήστε να αποφύγετε καθόλου να κάνετε κλικ, αλλά αν το κάνετε, μην βιάζεστε. Το μόνο χειρότερο πράγμα από την απάτη είναι να συνειδητοποιήσεις μετά ότι, αν χρειαζόσουν μερικά επιπλέον δευτερόλεπτα για να σταματήσεις και να σκεφτείς, θα είχες εντοπίσει εύκολα την προδοσία.
- Αναφέρετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου στην ομάδα πληροφορικής της εργασίας σας. Ακόμα κι αν είστε μικρή επιχείρηση, βεβαιωθείτε ότι όλο το προσωπικό σας γνωρίζει πού να υποβάλει ύπουλα δείγματα email ή να αναφέρει ύποπτες τηλεφωνικές κλήσεις (για παράδειγμα, θα μπορούσατε να δημιουργήσετε μια διεύθυνση email σε ολόκληρη την εταιρεία, όπως π.
cybersec911@example.com
). Οι απατεώνες σπάνια στέλνουν μόνο ένα email ηλεκτρονικού ψαρέματος σε έναν υπάλληλο και σπάνια τα παρατάνε αν η πρώτη τους προσπάθεια αποτύχει. Όσο πιο γρήγορα κάποιος χτυπήσει το ξυπνητήρι, τόσο πιο γρήγορα μπορείτε να προειδοποιήσετε όλους τους άλλους.
Λίγος χρόνος ή τεχνογνωσία για την αντιμετώπιση των απειλών στον κυβερνοχώρο; Ανησυχείτε ότι η κυβερνοασφάλεια θα καταλήξει να σας αποσπά την προσοχή από όλα τα άλλα πράγματα που πρέπει να κάνετε; Δεν είστε σίγουροι πώς να απαντήσετε σε αναφορές ασφαλείας από υπαλλήλους που θέλουν πραγματικά να βοηθήσουν;
Μάθετε περισσότερα σχετικά με Sophos Managed Detection and Response:
Κυνήγι, ανίχνευση και απόκριση απειλών 24/7 ▶
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- Ικανός
- Σχετικα
- πάνω από
- Απόλυτος
- Λογαριασμός
- δραστηριότητα
- διεύθυνση
- ενστερνίζομαι
- εκ των προτέρων
- συμβουλές
- Μετά το
- τρομάζω
- Όλα
- ήδη
- Αν και
- πάντοτε
- και
- Ανακοινώστε
- Εφαρμογή
- συγγραφέας
- εξουσιοδότηση
- αυτόματη
- πίσω
- background-image
- Κακός
- Τράπεζα
- τραπεζικό λογαριασμό
- Πτώχευση
- επειδή
- πριν
- συμπεριφορές
- χρέωσης
- σύνορο
- Κάτω μέρος
- παραβίαση
- επιχείρηση
- κλήσεις
- κάρτα
- ο οποίος
- κατηγορία
- Κέντρο
- ευκαιρία
- Αλλαγές
- κωδικός
- χρώμα
- παραπομπής σας
- συνήθως
- Εταιρείες
- εταίρα
- συμβιβασμός
- Διασυνδέσεις
- επικοινωνήστε μαζί μας
- σύμβαση
- θα μπορούσε να
- κάλυμμα
- Τη στιγμή
- πελάτης
- Πελάτες
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- ημερομηνία
- Ημερομηνία
- ημέρα
- περιγράφεται
- καθέκαστα
- Ανίχνευση
- DID
- διαφορετικές
- Display
- Μην
- δεκάδες
- οδήγηση
- μεταγλωττισμένο
- εύκολα
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Υπάλληλος
- υπαλλήλους
- Αγγλικά
- αρκετά
- δεοντολογία
- Even
- Συμβάν
- εκδηλώσεις
- όλοι
- απόδειξη
- παράδειγμα
- ανταλλαγή
- εξειδίκευση
- εμπειρογνώμονες
- εξωτερικός
- επιπλέον
- εκχύλισμα
- αποτυγχάνει
- Πτώση
- Χαρακτηριστικά
- λίγοι
- Αρχεία
- Κατάθεση
- οικονομικός
- Όνομα
- Εξής
- εξής
- Βρέθηκαν
- από
- πλήρως
- γενικά
- παίρνω
- να πάρει
- Δώστε
- δίνει
- Go
- καλός
- μεγαλύτερη
- συμβαίνει
- ευτυχισμένος
- ύψος
- βοήθεια
- φτερουγίζω
- Πως
- Πώς να
- HTTPS
- Κυνήγι
- προσδιορίζονται
- Ταυτότητα
- in
- περιστατικό
- περιλαμβάνουν
- περιλαμβάνει
- Συμπεριλαμβανομένου
- πληροφορίες
- περιβάλλον λειτουργίας
- έρευνα
- Ειρωνικώς
- θέματα
- IT
- εαυτό
- Ιανουάριος
- μόνο ένα
- Keen
- Ξέρω
- γνωστός
- ΜΑΘΑΊΝΩ
- μάθηση
- Άδεια
- άδειες
- γραμμές
- ΣΥΝΔΕΣΜΟΙ
- ζω
- Δάνεια
- μεγάλες
- κάνω
- διαχειρίζεται
- πολοί
- Περιθώριο
- max-width
- μηνύματα
- ενδέχεται να
- εκατομμύριο
- λάθη
- Κινητό
- κινητό τηλέφωνο
- περισσότερο
- όνομα
- ονόματα
- Πλοηγηθείτε
- Ανάγκη
- χρειάζονται
- κανενα απο τα δυο
- δίκτυο
- Νέα
- νέα
- κανονικός
- ιδιαίτερα
- αριθμός
- αριθμοί
- την απόκτηση
- επίσημος ανώτερος υπάλληλος
- Επίσημα
- ONE
- συνεχή
- διαδικτυακά (online)
- τάξη
- ΑΛΛΑ
- εκτός
- καταβλήθηκε
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Παύλος
- πληρωμή
- Κάρτα πληρωμής
- ίσως
- προσωπικός
- προσωπικά δεδομένα
- phish
- Phishing
- Απάτες phishing
- τηλέφωνο
- τηλεφωνικές κλήσεις
- καρφίτσες
- Σκέτη
- σχέδιο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- θέση
- Δημοσιεύσεις
- Προπληρωμένος
- ιδιωτικός
- πιθανώς
- Προγραμματισμός
- προμηθευτής
- Παρόχους υπηρεσιών
- τραβώντας
- βάζω
- αυξήσεις
- αρχεία
- Ρυθμιστικών Αρχών
- θυμάμαι
- επαναλαμβάνω
- αναφέρουν
- Αναφορά
- Εκθέσεις
- Απάντηση
- απάντησης
- Ασφάλεια
- Απάτη
- Απατεώνες
- απάτες
- SEC
- δευτερόλεπτα
- Χρεόγραφα
- Securities and Exchange Commission
- ασφάλεια
- φαίνεται
- σοβαρός
- Υπηρεσίες
- σειρά
- Μέτοχοι
- θα πρέπει να
- υπογράψουν
- Απλούς
- απλά
- ενιαίας
- small
- μικρές επιχειρήσεις
- Μ.Κ.Δ
- στέρεο
- μερικοί
- Κάποιος
- Πηγή
- ειδικά
- Spot
- Προσωπικό
- Κατάσταση
- Μελών
- Ακόμη
- κλαπεί
- στάση
- υποβάλουν
- υποβάλλονται
- τέτοιος
- παρέχεται
- ύποπτος
- SVG
- συστήματα
- T-Mobile
- Πάρτε
- λήψη
- φόρος
- Ευχαριστία
- Η
- Η Πηγη
- κλοπές
- τους
- πράγμα
- πράγματα
- σκέφτεται
- απειλή
- Μέσω
- ώρα
- προς την
- κορυφή
- Ιχνος
- μετάβαση
- διαφανής
- συνήθως
- URL
- us
- χρήση
- Χρήστες
- Παραβιάσεις
- Φωνή
- Web-based
- Ιστοσελίδα : www.example.gr
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- θα
- εντός
- χωρίς
- λόγια
- Εργασία
- ανήσυχος
- αξία
- Εσείς
- Σας
- zephyrnet